بدافزارهای جاسوسی اندروید، خود را به‌جای Signal و ToTok معرفی می‌کنند

دو کمپین جدید spyware که محققان آن‌ها را ProSpy و ToSpy نامیده‌اند، کاربران اندروید را با ارتقاءها یا پلاگین‌های جعلی برای اپلیکیشن‌های پیام‌رسان Signal و ToTok فریب داده‌اند تا داده‌های حساس آن‌ها را سرقت کنند.

برای اینکه فایل‌های مخرب مشروع به‌نظر برسند، عامل تهدید (threat actor) آن‌ها را از طریق وب‌سایت‌هایی توزیع کرده که خود را جایگزین این دو پلتفرم ارتباطی جا زده‌اند.

Signal یک پیام‌رسان محبوب با رمزنگاری end-to-end است که بیش از ۱۰۰ میلیون بار در Google Play دانلود شده است.
ToTok توسط شرکت هوش مصنوعی G42 مستقر در امارات توسعه داده شده و در سال ۲۰۱۹ پس از اتهام جاسوسی برای دولت امارات، از فروشگاه‌های اپل و گوگل حذف شد.

در حال حاضر، ToTok از وب‌سایت رسمی و فروشگاه‌های اپلیکیشن شخص ثالث قابل دانلود است.

پنهان‌کاری و ماندگاری

محققان شرکت امنیت سایبری ESET کمپین ProSpy را در ژوئن کشف کردند، اما معتقدند که این فعالیت حداقل از سال ۲۰۲۴ آغاز شده است. بر اساس تحلیل آن‌ها، کمپین‌های مخرب کاربران در امارات متحده عربی را هدف قرار داده‌اند.

در طول تحقیقات، آن‌ها «دو خانواده spyware که قبلاً مستندسازی نشده بودند» را کشف کردند که خود را به‌عنوان یک Signal Encryption Plugin و نسخه Pro از اپلیکیشن ToTok معرفی کرده‌اند، در حالی که هیچ‌کدام از این موارد وجود خارجی ندارند.

اپراتور کمپین spyware فایل‌های APK مخرب را از طریق صفحات وبی توزیع کرده است که وب‌سایت رسمی Signal (مانند:
https://signal.ct[.]ws و https://encryption-plug-in-signal.com-ae[.]net/) و فروشگاه Samsung Galaxy Store (مانند:
store.latestversion[.]ai و https://store.appupdate[.]ai) را جعل کرده‌اند.

BleepingComputer تلاش کرد به وب‌سایت‌های جعلی دسترسی پیدا کند؛ اما بیشتر آن‌ها آفلاین بودند و یکی به وب‌سایت رسمی ToTok هدایت شد.

هنگام اجرا، نمونه‌های malware ProSpy درخواست دسترسی به contact list، SMS و files را می‌دهند که مجوزهای معمول برای اپلیکیشن‌های messenger هستند.

وقتی روی دستگاه فعال شد، malware داده‌های زیر را exfiltrates می‌کند:

• اطلاعات دستگاه (hardware، operating system، IP address)
• متون ذخیره‌شده SMS، فهرست مخاطبین
• فایل‌ها (audio، documents، images، videos)
• فایل‌های پشتیبان ToTok
• فهرست برنامه‌های نصب‌شده

برای پنهان ماندن، Signal Encryption Plugin از آیکون و برچسب «Play Services» در صفحهٔ خانه استفاده می‌کند. علاوه بر این، هنگام ضربه زدن روی آیکون، صفحهٔ اطلاعات یک برنامهٔ legítimate Google Play Service باز می‌شود.

نمودار زیر نشان می‌دهد که یک ProSpy compromise چگونه رخ می‌دهد. عامل تهدید تلاش کرده است که با هدایت کاربر به official download site در صورتی که اپ legítimate روی دستگاه موجود نبود، از جلب توجه و شک کاربر جلوگیری کند.

کمپین ToSpy ممکن است در سال ۲۰۲۲ آغاز شده باشد.

بر اساس تحقیقات، کمپین ToSpy همچنان ادامه دارد، با توجه به وضعیت فعال زیرساخت command-and-control (C2).

ESET اشاره می‌کند که این فعالیت ممکن است به سال ۲۰۲۲ بازگردد، زیرا آن‌ها چندین شاخص مرتبط با آن دوره یافته‌اند: یک گواهی توسعه‌دهنده که در تاریخ ۲۴ می ۲۰۲۲ ایجاد شده، یک دامنه مورد استفاده برای توزیع و C2 که در تاریخ ۱۸ می همان سال ثبت شده، و نمونه‌هایی که در تاریخ ۳۰ ژوئن در پلتفرم اسکن VirusTotal آپلود شده‌اند.

اپ ToTok جعلی که در این کمپین توزیع شده، از قربانیان می‌خواهد دسترسی به contact و storage را اعطا کنند و داده‌های مرتبط را جمع‌آوری می‌کند — با تمرکز بر اسناد، تصاویر، ویدئو و فایل‌های پشتیبان چت ToTok (.ttkmbackup).

گزارش ESET اشاره می‌کند که همهٔ داده‌های exfiltrated ابتدا با استفاده از الگوریتم رمزنگاری متقارن AES در حالت CBC رمزنگاری می‌شوند.

برای پنهان‌کاری، ToSpy در صورتی که روی دستگاه موجود باشد، هنگام باز شدن اپ واقعی ToTok را اجرا می‌کند.

اگر اپ موجود نباشد، malware تلاش می‌کند Huawei AppGallery را (یا اپ legítimate آن یا مرورگر وب پیش‌فرض) باز کند تا کاربر بتواند اپ رسمی ToTok را دریافت کند.

هر دو خانوادهٔ spyware از سه مکانیزم persistence روی دستگاه‌های آلوده استفاده می‌کنند:

1. سوءاستفاده از ‘AlarmManager’ در Android system API برای راه‌اندازی مجدد خودکار در صورت خاتمه یافتن.
2. استفاده از foreground service با persistent notifications تا سیستم آن را به‌عنوان یک فرآیند با اولویت بالا شناسایی کند.
3. ثبت‌نام برای دریافت BOOT_COMPLETED broadcast events تا بتواند پس از راه‌اندازی مجدد دستگاه بدون دخالت کاربر، spyware را راه‌اندازی کند.

ESET فهرست کاملی از indicators of compromise (IoCs) مرتبط با کمپین‌های ProSpy و ToSpy منتشر کرده است، اما انتساب عامل تهدید هنوز قطعی نیست.

به کاربران اندروید توصیه می‌شود اپلیکیشن‌ها را تنها از مخازن رسمی یا معتبر یا مستقیماً از وب‌سایت ناشر دانلود کنند. همچنین باید سرویس Play Protect را روی دستگاه خود فعال نگه دارند تا تهدیدات شناخته‌شده را غیرفعال کند.